引:如果有机会的话,您可以每天使用域名解析系统(Domain Name System,DNS)服务器。DNS能够把人们熟悉的形如“www.pcworld.com”这样的域名转换为IP地址;根据IP地址电脑用户还能找到相对应的网络用户。
上一篇:十大安全风险值得警惕(中)
罪犯把浏览器重导向到欺骗网站
危害度: 高 可能性: 高 目标: 商业
如果有机会的话,您可以每天使用域名解析系统(Domain Name System,DNS)服务器。DNS能够把人们熟悉的形如“www.pcworld.com”这样的域名转换为IP地址;根据IP地址电脑用户还能找到相对应的网络用户。另外,您网络服务提供商也有其自己的DNS服务器,其实,很多的公司都配备有DNS服务器,如果没有这些服务器,您将不能在网上遨游。
虽说,DNS 服务器支撑着互联网的运行。但在最近的调查中,互联网性能监测公司The Measurement Factory 发现,五分之一的DNS 服务器运行着过时的 BIND域名解析软件。通过对130 万台DNS 服务器进行调查,The Measurement Factory 发现,四分之三的DNS 服务器向任意的查询者,而不仅仅是可信赖的用户提供“递归式查找服务”。电脑安全研究和教育组织SANS Institute也表示,由于使用过时的,或是配置不当的DNS软件可能导致域名服务器受到攻击,有关部门还把DNS服务器列入20大互联网攻击弱点。例如,2006年5月份,由于连续遭到网络罪犯“拒绝服务”式攻击,以色列反垃圾邮件公司Blue Security日前被迫关闭公司网站,归其原因就是因为Blue Security使用了配置不当的DNS服务器。
其实,攻击DNS服务器的方式有很多种。其中的一种攻击方式就是“缓存毒害”,罪犯可以同时把攻击的目标瞄准所有使用DNS服务器的人。另外,罪犯还能把使用过公司,或是ISP服务器的用户成功导向到一个网络钓鱼网站,或是恶意病毒网站。也许,当您在浏览器中输入‘www.americanexpress.com’,或是‘www.yahoo.com’,但是最后出现在您眼前的网站并不是您想要进入的网站,而最终导向的网站十有八九跟恶意软件相关。
另外一种致命的策略的是:当罪犯向设有递回(recursive)功能的DNS服务器发送一些欺骗的请求时,服务器会做出反应,并把回复的信息发送到一个受陷害的受害者那里。和原始的请求相比,服务器回复的内容包括更多的数据。同样,这也会比先前所造成的危害要严重,这些不幸的受害者会被这些垃圾数据淹没,也能导致DNS服务器不能回复正常用户的真实请求。
如何防范:
询问您公司的IT组,以确认您的DNS服务器是否带有递回功能。如果您的服务器带有这项功能,应转而调整服务器设定,只对内部人士开放递回功能。
Rootkit帮恶意软件打掩护
危害度: 高 可能性: 中等 目标:Windows用户
说到Rootkit,它可谓是恶意软件创造者的最终梦想,因为它可在清晰的视域内帮助蠕虫、僵尸病毒和其它的恶意软件隐藏自己的踪迹。由于Rootkit并不会在Windows中的IE浏览器中出现,其运作处理也不会显示在任务管理器中,所以当前很多的反病毒软件和反间谍软件都无法检测到被它隐藏的恶意软件,这就是为什么如今那么多的恶意软件创建者使用Rootkit的原因。
去年11月份的索尼音乐CD事情就跟Rootkit软件有关,具体事件是因为索尼为了隐藏版权保护文档,在音乐CD中安装了Rootkit软件。一些聪明的网络罪犯很快就发现了这一点,并通过的索尼音乐CD中Rootkit软件来隐藏他们的恶意软件。由于索尼在音乐CD中使用了Rootkit软件,所以CD中无论是什么文档,或是运行的过程都是以“$sys$”开头,所以利用机会主义的恶意软件创建者看准了这一时机,并把他们的文档名称改成“$sys$”,以蒙骗过关。
今年三月粉,西班牙反病毒软件制造熊猫软件公司表示他们找到了很多种携带有Rootkit功能的恶性Bagle蠕虫病毒。而更坏的情况是,和僵尸网络程序的创建人一样,Rootkit软件创建人现在已经在很大程度上销售这个工具,或是免费把他们传播出去。这对于那些恶意软件创建者而言,这是一个天大的喜事,因为这样他们就更容易把Rootkit功能直接植入到像Bagle这样长期存在的蠕虫病毒当中,或是植入到新型恶意病毒当中。
虽说,网络罪犯中的机会主义者只是使用了现有的Rootkit,但这并不表明他们的隐藏途径就是死的,其实一些新的且有可能发生的事就出现Rootkit身上。例如,安全公司eEye就表示,网络罪犯有可能利用Rootkit软件在硬盘的引导扇区(boot sector)隐藏恶意文档。来自NGSS(Next Generation Security Software)的安全顾问John Heasman也表示:“通过使用BIOS中的高级配置与电源接口(Advanced Configuration and Power Interface,ACPI),Rootkit甚至可以把恶意代码隐藏到电脑中的BIOS中。”
但是最近,微软研究室与密西根大学的研究人员一同创建了一个基于虚拟机的后门原型——SubVirt。SubVirt实现了在操作系统下底层构建一个虚拟机监视器,其可以使得木马本体在宿主操作系统中不可能被发现,因为其运行状态根本不可能进入宿主操作系统的安全软件监控之中。这样做还有一个好处:其实操作系统在正常的运行,但真正处于掌控地位的是虚拟监视器,它可以完全控制操作系统所接触到的每一项操作,或是所看到的每一件事。这也就是说,在整个过程当中,操作系统是完全处于隐藏状态的。
幸运的是,Rootkit执行起来并没有我们想象中那么简单,它还有提供用户线索的趋向,且会造成系统运行速度减慢和繁衍出某些泄密修正的文档。但到目前为止,这些极端的Rootkit还只是以一个弹性概念(proof-of-concept)而存在,所以恶意软件创建者要发起这样的攻击,估计还要一段比较长的时间。
Rootkit之战是一场持久战
虽说到目前为止,我们还没有发现危害性比较大的Rootkit,但这对于安全软件厂商而言却是一项极富挑战性的“游戏”。因为察觉和移除Rootkit只是一项局部的工作,即使是将Rootkit制服也不过是暂时的。如果要长期的和Rootkit斗争下去,可谓相当的困难。
其实,要想在装有Windows操作系统的电脑中检测到一个Rootkit程序也不见得十分简单,因为这跟在一个黑暗的房间内利用手电筒寻找目标不一样,只需通过墙上的投影一一辨认就是。现如今,一些比较专业的安全软件,例如,F-Secure的BlackLight和Sysinternals的RootkitRevealer,通过对电脑中的Windows文件系统和内存进行无规律的深度扫描,可以检测到活动着的Rootkit。
但是,这样的工具不可能在每一起案例中都起到作用。最近,恶名昭彰的恶意广告程序Look2Me就成功的逃过了BlackLight的法眼,成功的使一个关键的系统调用(System Call)报废。虽说这种发现只是次要的,但是Rootkit创建者在下一轮的恶意攻击中,肯定会将目光死死盯住这一区域,这才是问题的关键。
如何传播:
1.您下载时,携带有Rootkit软件的特洛伊木马入侵到您的电脑。
2.然后通过Rootkit软件隐藏恶意软件,躲过反病毒软件的跟踪。
3.最后,伪装的特洛伊木马再把键盘侧录程序和间谍软件植入到您的电脑当中。
如何防范:
1.安装一个可提供Rootkit扫描和移除的反病毒软件,卡巴斯基和F-Secure最新的安全应用软件都可提供类似的功能。我希望其它的安全也能把这些功能添加到产品当中。
2.使用一个Rootkit检测器,例如,Sysinternals的RootkitRevealer和F-Secure的Blacklight,他们都可进行免费的下载。
|
